El correo que parece una notificación real de la Administración: INCIBE advierte del detalle que lo cambia todo

Los intentos de estafa que suplantan a organismos públicos no siempre llegan con errores evidentes, faltas de ortografía o mensajes difíciles de creer. En muchos casos, el engaño se apoya precisamente en lo contrario: apariencia institucional, lenguaje administrativo y una promesa lo bastante concreta como para que lo tomes como auténtico. Eso es lo que ocurre con una falsa notificación que utiliza el nombre de Mi Carpeta Ciudadana y que INCIBE identificó en marzo como una campaña de phishing.

Este aviso nos sirve como ejemplo de una técnica cada vez más habitual: imitar servicios oficiales para robar información sensible. En este caso, el correo fraudulento comunica al usuario que se ha generado a su favor un ingreso por importe de 552,97 euros. El mensaje incluye un enlace que dirige a una página falsa, diseñada para parecer legítima, pero que acaba robándote tus datos personales y bancarios.

El gancho: una notificación con apariencia oficial

Mi Carpeta Ciudadana es un servicio digital del Gobierno de España que permite consultar información personal, trámites administrativos, expedientes y notificaciones en un único espacio. Precisamente por esa familiaridad con la Administración, su nombre puede resultar útil para los ciberdelincuentes: si el usuario cree que está ante un aviso oficial, es más probable que pulse el enlace sin comprobar antes su origen.

En este caso, el correo suplanta la identidad de Mi Carpeta Ciudadana y simula una comunicación administrativa. La promesa de un ingreso económico funciona como reclamo, pero el objetivo real no es informar de ninguna ayuda ni devolución pendiente, sino llevar a la víctima a una web fraudulenta donde se le solicitan datos sensibles.

La propia información oficial de Mi Carpeta Ciudadana recuerda que, desde la sección de notificaciones, el usuario puede acceder identificado a la Dirección Electrónica Habilitada Única, conocida como DEHú, para consultar notificaciones y comunicaciones administrativas. Es decir, los avisos reales deben verificarse siempre desde canales oficiales y con identificación segura, no desde enlaces recibidos en correos inesperados.

El detalle que debe hacer desconfiar

La principal recomendación es no actuar con prisa. Un supuesto ingreso inesperado, una notificación urgente o un trámite que exige introducir datos bancarios desde un enlace son señales de alerta. Antes de hacer clic, conviene revisar el remitente, comprobar el dominio, evitar enlaces acortados o direcciones extrañas y acceder siempre escribiendo manualmente la dirección oficial del servicio en el navegador.

INCIBE insiste en que este tipo de campañas buscan obtener información personal y financiera. Por eso, si el usuario ha recibido el correo pero no ha pulsado el enlace, lo más seguro es marcarlo como spam, bloquear al remitente y eliminarlo. Si, por el contrario, ha accedido a la web falsa o ha introducido datos, debe actuar cuanto antes.

En el caso de que se haya clicado en algún enlace, el organismo recomienda cambiar las contraseñas afectadas, contactar con el banco si se han facilitado datos financieros, escanear el dispositivo con un antivirus y vigilar si la información personal aparece publicada o utilizada en Internet sin consentimiento. También aconseja recopilar pruebas del fraude, como correos, capturas de pantalla o direcciones web, por si fuera necesario presentar denuncia.

INCIBE dispone además del servicio Tu Ayuda en Ciberseguridad, gratuito y confidencial, a través del teléfono 017, WhatsApp en el 900 116 117, Telegram mediante @INCIBE017 y formulario web. El servicio está orientado a resolver dudas y problemas cotidianos relacionados con fraudes, suplantaciones y otros incidentes digitales.